为什么今天的 CAPTCHA 如此糟糕（以及我们应该构建的替代方案）

Source: Dev.to

现代 CAPTCHA 的问题

现代 CAPTCHA 本意是阻止机器人，但实际上它们大多在惩罚人类。点击红绿灯、旋转图片或解谜会破坏用户体验、可访问性和流程——而高级机器人往往仍能轻松通过。

有缺陷的假设

核心问题不在于实现，而在于把用户划分为“人类”或“机器人”的假设。真实行为是概率性的。时间、节奏、输入熵、设备一致性以及随时间变化的轨迹都存在于灰色地带，而非绝对二元。

大多数 CAPTCHA 系统隐藏了这种不确定性。然而，每一个安全决策本身已经依赖于配置：阈值、置信水平以及对风险的容忍度。两家公司可以使用相同的检测逻辑，却表现出完全不同的行为——这不是 bug，而是策略。

实验性替代方案

我一直在研发一个实验项目 **，一个不可见的行为安全系统，它不假装完美。它不是通过激进地阻止用户来工作，而是根据可配置的风险容忍度采用渐进式强制。检测承认不确定性，用户体验会逐步下降，行为随时间得到改进。

我目前正在探索白标使用案例并收集真实世界的反馈。

联系方式

如果你对这个想法感兴趣或想讨论行为安全：

• Discord: pixelhollow